IEに2種類の新たなセキュリティ・ホールが見つかる

　セキュリティ組織である米SANS Instituteは米国時間1月8日，Internet Explorer（IE）に見つかった2種類の新しいセキュリティ・ホールを警告した。セキュリティ・ホールの深刻度は「Moderate（中）」および「Low（低）」であるものの，悪用されると，ユーザーのパソコン上で任意のプログラムを実行させられる恐れがある。いずれのセキュリティ・ホールについても，米Microsoftからは情報やパッチは公開されていない。対策はアクティブ・スクリプトを無効にすることや，別のブラウザを使うことなど。

　SANS Instituteは，ソフトウエアに見つかったセキュリティ・ホールを「Critical（深刻）」「High（高）」「Moderate」「Low」――のいずれかに分類している。「Critical」については48時間以内に，「High」については5日（5 business days）以内 に，「Moderate」については15日（15 business days）以内 に，「Low」については管理者の判断（at the administrator's discretion）で対応するよう勧めている。

　「Moderate」のセキュリティ・ホールは，Arman Nayyeri氏によって発見され，セキュリティ関連のメーリング・リスト「Bugtraq」などに，2003年12月29日に投稿された。セキュリティ・ベンダーの「Secunia」は1月2日に詳細なレポートを公開している。

　このセキュリティ・ホールは，Webページ中に記述された「showHelp()」関数をIEが実行する際に，きちんとチェックしないことが原因である。showHelp()は，ユーザーのパソコン（ローカル）に存在するCHMファイル（Compiled Help Module，複数のHTMLファイルや画像ファイルなどを圧縮して一つにしたヘルプ・ファイル）をWebページ中から呼び出す関数である。CHMファイルは，「My Computer」ゾーンと呼ばれる，最も制限が緩いセキュリティ・ゾーンで開かれる（My Computerゾーンは，ユーザーがパソコン上でローカルのファイルを実行するときに適用されるセキュリティ・ゾーンである。IEの設定画面には表示されない）。

　今回のセキュリティ・ホールを利用すれば，showHelp()で開こうとするCHMファイルの場所（パス）さえ分かっていれば，そのファイルの名前がCHMファイルでなくても（.chm以外の拡張子でも），CHMファイルとして開くことができる。

　そこで，悪意があるCHMファイルを，保存される場所が分かっているファイルの拡張子（例えば，WinAmpのスキン・ファイルの拡張子）に変えてWebサイト上に置く。そして，公開するWebページ中には，このファイルを「iframe」などで指定して，ページを見るだけでユーザーのパソコンにダウンロードされるようにする。同じページ中にはshowHelp()を使って，このファイルを呼び出すようにする（このとき，ある細工が必要である）。そうすれば，このページを開いただけで，名前を変えたCHMファイルが勝手に開かれる。

　CHMファイルにはテキストや画像だけではなく，スクリプトなども含めることができる。そして前述のように，CHMファイルはMy Computerゾーンで実行される。このため，パソコン中のファイルを読み出したり，任意のプログラムをパソコン上で実行させることなどが可能となる。

　対策は，IEのセキュリティ設定の「アクティブ・スクリプト」を無効にすること。加えてSecuniaでは，showHelp()を含むWebページをプロキシやファイアウオールでフィルタリングすることや別のブラウザを使うことを回避策として挙げている。

　「Low」のセキュリティ・ホールは2004年1月2日に，「http-equiv」によって「Bugtraq」などに投稿された。このセキュリティ・ホールを悪用されると，My ComputerゾーンでIEがHTMLファイルを開いた場合（例えば，ローカルに保存したHTMLファイルを開いた場合など）には，HTMLファイルから引数付きのコマンドを実行させられる恐れがある。攻撃者は，例えばHTA（HTML Applications）ファイルを実行するコマンド「mshta.exe」を使えば，任意のWebサイト上に置かれたHTAファイルをユーザーに実行させることが可能となる。

　インターネット上のページ（インターネット・ゾーンのページ）から，このセキュリティ・ホールを直接突くことは難しい。このため，セキュリティ・ホールの深刻度は最も低い「Low」としている。SANS Instituteの情報では，このセキュリティ・ホールは他のセキュリティ・ホールと組み合わせて悪用される可能性が高いとしている。

　今回相次いで公開されたIEのセキュリティ・ホールは比較的深刻度が低い。しかし，セキュリティ・ホールの詳細や検証方法が明らかとなっている。また，パッチが公開されていないIEのセキュリティ・ホールは多数存在する。パッチが未公開のセキュリティ・ホールを公開している「Unpatched Internet Explorer Bug Page」では，2004年1月10日時点で23個存在するという。IEユーザーは十分注意したい。

【1月13日追記】上記の「Unpatched Internet Explorer Bug Page」を閲覧すると，ウイルス対策ソフトによっては「このページにウイルスが含まれている」と警告を表示する場合があるが，実際にはウイルスは含まれていないので心配はない。このページにはセキュリティ・ホールの詳細な情報が記述されている。その記述から，対策ソフトの一部は「このページはセキュリティ・ホールを突こうとしているページである」と判断して警告を表示するようだ。

　読者からの情報によると，例えば日本ネットワークアソシエイツの「McAfee VirusScan」を使っている場合には，上記のページには「Exploit-URLSpoof」が含まれていると表示される。実際には上記のページにはExploit-URLSpoofは含まれていない。Exploit-URLSpoofに関係するIEのセキュリティ・ホールが詳細に記述されているだけである。【以上，1月13日追記】

◎参考資料
◆＠RISK: The Consensus Security Vulnerability Alert（January 8, 2004 Vol. 3. Week 1）
◆Unpatched Internet Explorer Bug Page
◆IE 5.x-6.0 allows executing arbitrary programs using showHelp()
◆Internet Explorer showHelp() Restriction Bypass Vulnerability
◆Self-Executing HTML: Internet Explorer 5.5 and 6.0 Part IV

（勝村　幸博＝IT Pro）